Di solito, i giuslavoristi e le funzioni aziendali HR si preoccupano che il modo di utilizzare i dispositivi automatici per il controllo delle attività produttive non leda i diritti dei lavoratori, come stabilito ad esempio nello Statuto dei lavoratori o nel regolamento GDPR. Ma c’è un altro aspetto che sta diventando centrale nella prestazione lavorativa. I dispositivi automatici citati, infatti, possono ledere i diritti dei lavoratori già per le loro caratteristiche intrinseche, cioè per come sono stati progettati e prodotti dalle aziende fornitrici. Generando per questo importanti rischi (e potenzialmente sanzioni), analoghi a quelli derivanti dall’illegittimo modo in cui il datore di lavoro utilizzi tali dispositivi e sistemi.

Questo è anche l’orientamento del Garante della Privacy, nel suo recente provvedimento n. 384 del 28 ottobre 2021, che ha ritenuto illecito, sotto più profili il trattamento dei dati personali degli operatori addetti al call center di una società di trasporto pubblico locale, tramite il sistema di gestione delle telefonate utilizzato per il servizio di assistenza all’utenza (call center inbound) mediante la piattaforma dedicata “Phones”, realizzata da una ditta specializzata.

In particolare, nel corso dell’istruttoria il Garante ha certificato che il sistema non consentiva solo di effettuare chiamate e associazioni tra nominativi e recapiti telefonici, ma consentiva anche “la registrazione delle chiamate e la memorizzazioni delle meta informazioni ad esse relative associate direttamente ai nominativi dei dipendenti che le avevano effettuate nell’ambito della propria attività lavorativa”. In questo modo non era possibile escludere la memorizzazione di informazioni associate in via diretta ai dipendenti.

Tali caratteristiche intrinseche del sistema non sono state pertanto ritenute conformi ai principi di minimizzazione e di protezione dei dati personali by design, in violazione del Regolamento sulla trattazione dei dati personali.

Infatti, il titolare del trattamento deve rispettare i principi che regolano il trattamento dei dati anche quando utilizza prodotti e servizi realizzati da terzi, impartendo, se necessario, le adeguate informazioni al fornitore del servizio e accertandosi in ogni caso che siano disattivate le funzioni che non sono compatibili con le finalità del trattamento.

Dalla disamina che precede si può quindi trarre una conclusione di carattere operativo: l’azienda che intenda dotarsi di un sistema di I.A. deve, in primo luogo, verificare preventivamente che il sistema, così come predisposto dal fornitore, sia conforme alle sopra richiamate normative e non violi i diritti dei propri dipendenti; ed in caso negativo imporre al fornitore di apportare al sistema le modifiche necessarie per ottenere la prescritta conformità.

 

Dario Guidi Federzoni

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9722661